Serveur de secret principal
Le serveur secret master est le serveur enterprise single Sign-On (SSO) qui stocke le secret master (clé de chiffrement). Le serveur secret master génère le secret master lorsqu’un administrateur de l’authentification unique le demande. Ce serveur enregistre le secret principal chiffré dans le Registre. Seuls les administrateurs de l'authentification unique peuvent accéder au secret principal.
Les autres serveurs d'authentification unique vérifient si le secret principal a changé toutes les 30 secondes. Dans l'affirmative, ils le lisent de manière sécurisée. Sinon, ils continuent d'utiliser le secret principal déjà mis en mémoire cache. Le service d'authentification unique utilise le secret principal pour chiffrer et déchiffrer les informations d'identification des utilisateurs.
Vous ne pouvez utiliser le système d'authentification unique qu'une fois le serveur de secret principal configuré et le secret principal généré par un administrateur de l'authentification unique. Le serveur de secret principal génère le secret principal lors de la configuration. Seuls les administrateurs de l'authentification unique sont autorisés à le générer. Un administrateur d’authentification unique doit configurer le serveur secret master et la base de données d’informations d’identification avant qu’une application puisse utiliser le service d’authentification unique.
Important
Une fois le secret principal généré, il est fortement recommandé de le sauvegarder et de le stocker dans un emplacement sécurisé.
Lorsqu'un administrateur de l'authentification unique doit régénérer le secret principal (par exemple, s'il souhaite modifier le secret principal périodiquement), le serveur de secret principal stocke l'ancien secret principal et le nouveau secret principal. Le serveur de secret principal passe en revue les mappages, les déchiffre à l'aide de l'ancien secret principal et les chiffre à nouveau à l'aide du nouveau secret principal.
Si le serveur secret master échoue, toutes les opérations d’exécution qui sont déjà en cours d’exécution continuent de s’exécuter, mais les serveurs DSO ne peuvent pas chiffrer les nouvelles informations d’identification.
Important
Il ne peut y avoir qu'un serveur de secret principal dans votre système SSO. Par conséquent, il est fortement recommandé de mettre celui-ci en cluster. Pour plus d’informations, consultez How to Cluster the Master Secret Server.